基于BLP的安全電子郵件系統(tǒng)機(jī)密性安全模型設(shè)計(jì)

任帥

摘要： 本文對(duì)電子郵件所面臨的風(fēng)險(xiǎn)及目前采用的安全方案進(jìn)行了概述，并對(duì)傳統(tǒng)BLP（Bell-LaPadula）機(jī)密性安全模型的安全等級(jí)標(biāo)記和屬性進(jìn)行了闡述。通過(guò)對(duì)安全電子郵件系統(tǒng)的特性以及傳統(tǒng)BLP模型不足方面的研究，分析了傳統(tǒng)BLP模型無(wú)法滿足安全電子郵件系統(tǒng)機(jī)密性保證的原因，在此基礎(chǔ)上提出了一種基于BLP改進(jìn)和拓展后的機(jī)密性安全模型，并對(duì)模型的主客體安全等級(jí)標(biāo)記、機(jī)密性模型屬性進(jìn)行了設(shè)計(jì)。

關(guān)鍵詞：電子郵件;BLP;機(jī)密性安全模型

引言

隨著計(jì)算機(jī)應(yīng)用的日益普及，電子郵件作為網(wǎng)絡(luò)上應(yīng)用最廣泛的服務(wù)之一，在整個(gè)互聯(lián)網(wǎng)應(yīng)用占有很大的比重。電子郵件廣泛應(yīng)用于私人、商業(yè)、辦公等活動(dòng)中的信息傳遞，但在傳遞過(guò)程中的個(gè)人、商業(yè)及辦公的敏感信息也面臨著泄露的風(fēng)險(xiǎn)。針對(duì)這樣的風(fēng)險(xiǎn)，也有各種安全方案陸續(xù)應(yīng)用在電子郵件上，如針對(duì)郵件加密、簽名驗(yàn)證的S/MIME和CMS技術(shù)，采用PKI體系的電子證書(shū)認(rèn)證等技術(shù)。[1，2]

由于電子郵件具有點(diǎn)到點(diǎn)發(fā)送的特性，即郵件總是由發(fā)送者發(fā)送至指定的一個(gè)或多個(gè)郵箱用戶。因此對(duì)于用戶訪問(wèn)電子郵件內(nèi)容行為默認(rèn)隱含了訪問(wèn)控制策略，即總是認(rèn)為接收者具有訪問(wèn)權(quán)限。但在實(shí)際使用過(guò)程中，用戶不總是在可信的終端環(huán)境中進(jìn)行郵件的閱讀和收發(fā)，在不可信的終端環(huán)境中讀寫(xiě)郵件增加了敏感信息泄露的風(fēng)險(xiǎn)。因此，本文提出了一種基于BLP的安全電子郵件系統(tǒng)機(jī)密性安全模型。

一、BLP機(jī)密性安全模型

1973年MITRE公司的Bell和LaPadula[3]提出Bell-LaPadula模型（簡(jiǎn)稱BLP模型）是最早的也是目前最流行的保密性訪問(wèn)控制模型，結(jié)合了強(qiáng)制訪問(wèn)控制（MAC）和自主訪問(wèn)控制（DAC），它根據(jù)軍方的安全政策設(shè)計(jì)，防止信息的非授權(quán)泄露，是一種模擬軍事安全策略的多級(jí)機(jī)密性安全模型，目前被廣泛地應(yīng)用于描述計(jì)算機(jī)系統(tǒng)的安全問(wèn)題。BLP模型從保密性策略的角度出發(fā)，通過(guò)禁止上讀下寫(xiě)操作有效地防止主體讀取安全級(jí)別比它更高的客體。[4]

BLP模型分別對(duì)主體和客體設(shè)定唯一的安全等級(jí)標(biāo)記，記所有主體為為主體的集合;客體為為客體的集合;主體及客體的安全等級(jí)標(biāo)記為;對(duì)于主體和客體間的操作方式，記為其中r為讀取，w為寫(xiě)入。

在以上安全等級(jí)標(biāo)記的基礎(chǔ)上，BLP機(jī)密性安全模型定義了簡(jiǎn)單安全屬性和*屬性。簡(jiǎn)單安全屬性要求主體Si能夠讀取客體Oj，當(dāng)且僅當(dāng)，且Si對(duì)Oj具有主動(dòng)型讀權(quán)限，即主體僅能夠讀具有不高于自身安全級(jí)別的客體。*屬性要求主體Si能夠?qū)懭肟腕wOj，當(dāng)且僅當(dāng)，且Si對(duì)Oj具有主動(dòng)型寫(xiě)權(quán)限，即主體僅能夠?qū)懢哂胁坏陀谧陨戆踩?jí)別的客體。BLP模型通過(guò)簡(jiǎn)單安全屬性和*屬性保證了主體對(duì)客體“上寫(xiě)下讀”的特性，使得信息進(jìn)能從低安全級(jí)別流向高安全級(jí)別，保證了信息的機(jī)密性。[5]

二、BLP模型在電子郵件系統(tǒng)中的局限性

在訪問(wèn)控制模型方面，相較于操作系統(tǒng)等對(duì)象，電子郵件系統(tǒng)在數(shù)據(jù)的安全保護(hù)方面存在相似之處，但也存在很大不同，主要表現(xiàn)為以下方面：

首先，操作系統(tǒng)中主體一般為用戶或進(jìn)程，客體為資源及文件，當(dāng)主體通過(guò)訪問(wèn)控制的授權(quán)后可以即對(duì)客體進(jìn)行訪問(wèn)，而不必考慮由誰(shuí)創(chuàng)建，或?yàn)槟膫€(gè)主體創(chuàng)建。而電子郵件采用由單用戶發(fā)送，單個(gè)或多個(gè)指定用戶讀取的模式，當(dāng)一封郵件的發(fā)件人及收件人確定后，已經(jīng)確定了可進(jìn)行操作的用戶集合。

其次，操作系統(tǒng)文件僅對(duì)用戶和進(jìn)程進(jìn)行授權(quán)檢查、認(rèn)證，對(duì)于用戶的終端環(huán)境并不特別關(guān)心，對(duì)用戶所處環(huán)境的安全性一般通過(guò)網(wǎng)絡(luò)和用戶認(rèn)證層面進(jìn)行保證。而電子郵件具有在不確定環(huán)境進(jìn)行信息讀寫(xiě)的特征，對(duì)于多數(shù)的郵件系統(tǒng)，通過(guò)主流的郵件客戶端，經(jīng)過(guò)用戶認(rèn)證后均可以對(duì)郵件進(jìn)行發(fā)送、讀取操作。

另外，從使用的便利性角度考慮，假設(shè)一個(gè)具有{公開(kāi)、秘密、機(jī)密、絕密}安全等級(jí)標(biāo)記的電子郵件系統(tǒng)，采用傳統(tǒng)BLP模型進(jìn)行信息保護(hù)。那么絕密的用戶將無(wú)法發(fā)送除絕密外的電子郵件，即使該郵件僅是在一般辦公場(chǎng)所的編寫(xiě)的公開(kāi)信息，電子郵件系統(tǒng)使用的便利性將受到極大的限制。

因此對(duì)于電子郵件訪問(wèn)控制模型的特殊性，需要一種改善和拓展后的模型和安全等級(jí)標(biāo)記方式滿足安全電子郵件的機(jī)密性的要求。

三、安全電子郵件系統(tǒng)的安全等級(jí)標(biāo)記設(shè)計(jì)

傳統(tǒng)的BLP模型僅對(duì)于以用戶或進(jìn)程為代表性的主體進(jìn)行安全等級(jí)標(biāo)記，無(wú)法對(duì)電子郵件使用的PC環(huán)境進(jìn)行限制。因此，本次安全電子郵件系統(tǒng)的安全模型設(shè)計(jì)將主體的安全等級(jí)標(biāo)記拓展為用戶、環(huán)境兩個(gè)層面。記電子郵件用戶為的集合，終端環(huán)境為的集合;電子郵件為的集合。對(duì)于任意，具有唯一的安全等級(jí)標(biāo)記，記所有的安全等級(jí)標(biāo)記為的集合。

拓展后的主體安全等級(jí)標(biāo)記由用戶、環(huán)境兩個(gè)層面決定，主體具有安全標(biāo)記形式Sij=（Ui，hj），故主體表現(xiàn)為集合S：

客體為集合O：

主客體間的操作方式記為，w為發(fā)送郵件（寫(xiě)操作），r為收取郵件（讀操作），t為轉(zhuǎn)發(fā)郵件。

通過(guò)以上屬性的限制，能夠保證電子郵件信息在特定終端環(huán)境中“下讀上寫(xiě)”的要求，嚴(yán)格限制了電子郵件數(shù)據(jù)不從高安全級(jí)別流向低安全級(jí)別，滿足了機(jī)密性的要求。

參考文獻(xiàn)：

[1]陳建奇， 張玉清， 李學(xué)農(nóng)，等. 安全電子郵件的研究與實(shí)現(xiàn)[J]. 計(jì)算機(jī)工程， 2002（06）：121-122.

[2]張瑞麗， 楊坤偉， 李吉亮. 對(duì)電子郵件加密技術(shù)的分析與研究[J]. 計(jì)算機(jī)技術(shù)與發(fā)展， 2014， 000（001）：155-157.

[3]Electronic N A ，Lapadula L ，Bell D E ，et al.Secure Computer Systems： Mathematical Foundations.MITRE Corp，1973.

[4]陳旺， 李中學(xué). BLP模型及其研究方向[J]. 計(jì)算機(jī)工程與應(yīng)用， 2006， 42（013）：136-138.

[5]劉波， 陳曙暉， 鄧勁生. Bell-LaPadula模型研究綜述[J]. 計(jì)算機(jī)應(yīng)用研究， 2013， 30（003）：656-660.

上海國(guó)際技貿(mào)聯(lián)合有限公司 200031

上海網(wǎng)絡(luò)與信息安全測(cè)評(píng)工程技術(shù)研究中心 200031